Data Security Statement
# đ 2Zone Therapy / HealthGPT â Dichiarazione sulla Sicurezza dei Dati v1.5 **Data di entrata in vigore:** 6 agosto 2025 **Ultimo aggiornamento:** 27 febbraio 2026 --- ## 1. Il Nostro Impegno 2Zone Therapy e HealthGPT sono progettati con unâarchitettura orientata alla sicurezza fin dalla progettazione. Proteggiamo i dati degli utenti tramite: - Crittografia avanzata - Infrastruttura ad accesso limitato - Monitoraggio continuo - Modello di credenziali Zero-Knowledge - Controllo rigoroso degli accessi interni I dati sanitari e i dati generati dallâIA sono trattati come informazioni personali sensibili e gestiti di conseguenza. --- ## 2. Hosting e Infrastruttura - I server di produzione sono ospitati in data center sicuri situati nellâUnione Europea (UE). - I server operano dietro firewall rinforzati e livelli di accesso restrittivi. - Lâaccesso amministrativo è limitato esclusivamente al personale autorizzato. - Vengono mantenuti backup crittografati e ridondanti. - Vengono effettuati test periodici di ripristino per garantire lâintegritĂ del recupero. Gli ambienti di sviluppo e produzione sono separati. --- ## 3. Standard di Crittografia ### 3.1 Dati a Riposo - Database e file archiviati sono crittografati utilizzando **AES-256** o standard equivalenti. - I file di configurazione sensibili sono conservati al di fuori delle directory web pubbliche. ### 3.2 Dati in Transito - HTTPS/TLS 1.3 è applicato su tutti i domini. - Gli header HSTS sono abilitati ove supportati. - Le comunicazioni API con fornitori esterni sono crittografate. --- ## 4. Sicurezza delle Credenziali Operiamo secondo un modello di credenziali **Zero-Knowledge**: - Le Secret PassPhrase non sono mai memorizzate in testo semplice. - Le PassPhrase sono sottoposte ad hashing tramite **Argon2 o bcrypt**. - Sono attivi sistemi di protezione contro attacchi brute-force e limitazione dei tentativi. - I token di sessione sono generati in modo sicuro e ruotati regolarmente. Lâaccesso amministrativo richiede: - Autenticazione multi-fattore (MFA) - Monitoraggio IP - Registrazione delle attivitĂ --- ## 5. Controllo degli Accessi e Audit Logging Applichiamo un modello di **minimo privilegio (Least Privilege)**: - Permessi basati sui ruoli - Privilegi database limitati - Servizi interni segmentati Le operazioni critiche registrate includono: - Attivazione dellâaccount - Eliminazione dei dati - Generazione del protocollo - Modifiche al saldo GC - Conferme di pagamento I log sono conservati in modo sicuro per finalitĂ di sicurezza e conformitĂ normativa. --- ## 6. IA e Trattamento da Parte di Terzi HealthGPT utilizza servizi di intelligenza artificiale di terze parti per generare risposte. ### 6.1 Elaborazione OpenAI - Viene trasmesso solo lâinput minimo necessario dellâutente. - Non viene concesso accesso completo al database. - I dati sono trasmessi tramite canali API crittografati. - Lâelaborazione segue gli standard aziendali di gestione dei dati di OpenAI. ### 6.2 Text-to-Speech (TTS) Quando viene generato output vocale: - Vengono utilizzati i servizi TTS di OpenAI (ad esempio modelli Onyx). - Il testo è trasmesso in modo sicuro. - I file audio sono archiviati in directory server controllate. Non viene concesso accesso persistente al database a fornitori terzi. --- ## 7. Sicurezza dei Pagamenti - I pagamenti sono elaborati tramite fornitori terzi sicuri (ad esempio Stripe). - Non memorizziamo i dati completi delle carte di credito. - Le conferme di pagamento sono validate tramite webhook sicuri. - I metadati delle transazioni sono registrati per riconciliazione e prevenzione frodi. --- ## 8. Minimizzazione dei Dati Raccogliamo solo i dati necessari per: - Fornire consulenza sanitaria generata dallâIA - Gestire i Guidance Credits (GC) - Elaborare i pagamenti - Garantire la sicurezza dellâaccount Non raccogliamo: - Numeri di identificazione governativi - Identificatori biometrici - Credenziali bancarie --- ## 9. Risposta agli Incidenti e Protocollo di Violazione Manteniamo monitoraggio continuo per rilevare: - Tentativi di accesso non autorizzati - AttivitĂ di login anomale - Anomalie nei pagamenti - Uso improprio delle API In caso di violazione confermata dei dati: - Gli utenti interessati saranno informati senza ingiustificato ritardo. - Le autoritĂ competenti saranno notificate entro **72 ore**, ove richiesto (GDPR Art. 33). - Saranno adottate immediatamente misure di contenimento e rimedio. --- ## 10. Eliminazione dei Dati Controllata dallâUtente Gli utenti possono richiedere: - Eliminazione completa dellâaccount - Eliminazione dei protocolli - Eliminazione dei log IA - Eliminazione delle note vocali Lâeliminazione richiede: 1. Conferma della Secret PassPhrase 2. Verifica via e-mail 3. Passaggio finale di conferma Una volta completata, lâeliminazione è permanente e irreversibile. --- ## 11. Test di Sicurezza e Aggiornamenti Noi: - Aggiorniamo regolarmente il software dei server - Correggiamo vulnerabilitĂ note - Monitoriamo aggiornamenti delle dipendenze - Revisioniamo i log di accesso Le pratiche di sicurezza evolvono continuamente con la crescita della piattaforma. --- ## 12. Responsible Disclosure Se scopre una vulnerabilitĂ o un problema di sicurezza, la invitiamo a segnalarlo responsabilmente a: **security@2zonetherapy.com** Esaminiamo tutte le segnalazioni e risponderemo in modo appropriato. --- ## 13. Miglioramento Continuo La sicurezza non è statica. Con lâespansione di HealthGPT â inclusi analytics TEL, miglioramenti IA e generazione di protocolli â lâarchitettura di sicurezza viene regolarmente rivista e aggiornata. --- **2Zone Therapy / HealthGPT** Impegnati nella protezione dei suoi dati sanitari e della sua identitĂ digitale.
Tip: change language using
?lang=xx (example: ?type=terms&lang=fr). If a language folder doesnât exist, it falls back to English.